Т.А. Полякова
профессор кафедры информационного права, информатики и математики Российской академии правосудия при Верховном Суде и Высшем Арбитражном Суде Российской Федерации, заслуженный юрист Российской Федерации, доктор юридических наук
А.И. Химченко
научный сотрудник факультета права Национального исследовательского университета «Высшая школа экономики», соискатель кафедры информационного права, информатики и математики Российской правовой академии Минюста России
Актуальные
организационно-
правовые
вопросы
трансграничной
передачи
персональных
данных
В статье исследуются правовые особенности трансграничной передачи персональных данных, в том числе связанные с реализацией положений конвенции Совета Европы № 108 о защите физических лиц при автоматизированной обработке персональных данных 1981 г. и Дополнительного протокола № 181 к конвенции, в законодательстве Российской Федерации, регулирующем трансграничную передачу персональных данных, роль Уполномоченного органа по защите прав субъектов персональных данных; выявляются проблемы, возникающие при трансграничной передаче данных.
Ключевые слова: трансграничная передача персональных данных, Конвенция Совета Европы № 108, Дополнительный протокол № 181 к конвенции, Уполномоченный орган по защите субъектов прав персональных данных, модернизация конвенции, общественные отношения в сфере использования персональных данных.
В настоящее время в связи со стремительным развитием Интернета и активным использованием информационно-коммуникационных технологий обмен информацией в мире стал более простым, быстрым и доступным. При этом неизбежно стали накапливаться колоссальные массивы информации, в том числе содержащие и персональные данные граждан. В первую очередь это связано с тем, что в условиях развития глобального информационного общества все активнее развивается практика предоставления государственных и муниципальных услуг гражданам в электронном виде.
Однако такая динамика роста потоков информации представляет собой угрозу информационной безопасности в связи с опасностью несоблюдения фундаментальных прав личности на неприкосновенность персональных данных, особенно при их трансграничной передаче. Вместе с тем эффективная защита персональных
данных имеет ключевое значение для развития демократического правового государства, а установление баланса соблюдения права на частную жизнь и свободного обмена информацией, в том числе и содержащей персональные данные, необходимо для реализации новых экономических возможностей и одновременно обеспечения безопасности и стабильности общества и государства.
Как показывает анализ, сегодня не во всех государствах уделяется необходимое внимание вопросам обеспечения безопасности персональных данных на своей территории, что, несомненно, влияет и на возникновение дополнительных барьеров при трансграничной передаче персональных данных. Это в свою очередь негативно влияет на интеграционные процессы в мировой экономике и отрицательно сказывается на развитии целых секторов экономики, таких как интернет-торговля, международные пассажирские перевозки, туристический и гостиничный бизнес и др.
Следует отметить, что сегодня законодательство о персональных данных наиболее развито в государствах Европейского союза. Общепризнанным является факт, что ключевое место занимает Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. № 108 (далее — Конвенция № 108), действующая уже более 30 лет и ставшая определенным стандартом для 47 европейских государств.
Целью конвенции является защита данных физических лиц, заключающаяся в обеспечении на территории любого государства-участника уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и, в особенности, его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных, а также обеспечения свободного движения персональных данных между странами-участницами.
В преамбуле конвенции провозглашена необходимость совмещения таких фундаментальных ценностей, как уважение неприкосновенности личной сферы и свободного обмена информацией между народами.
Представляется, что положение о том, что трансграничные потоки данных между государствами-участниками конвенции не должны подвергаться какому бы то ни было особому контролю, должно рассматриваться в тесной взаимосвязи с положениями гл. II конвенции, определяющей необходимость исполнения всеми заинтересованными государствами основополагающих правил при обработке личных данных. В связи с этим представляется, что именно гл. II содержит основные положения конвенции, которые определяют основополагающие принципы защиты данных, и каждое государство-участник должно предпринять необходимые меры для имплементации их в национальное законодательство.
Трансграничная передача данных при международном обмене по своей сути является формой обработки персональных данных.
Вопросы передачи персональных данных через границы нашли отражение в ст. 12 конвенции, устанавливающей необходимость сочетания требований эффективной защиты данных с принципом свободного потока информации независимо от границ, закрепленным в ст. 10 Европейской конвенции о защите прав человека и основных свобод 1950 г.1 (далее — Европейская конвенция). В частности, в п. 1 ст. 12
1 Конвенция о защите прав человека и основных свобод, измененная и дополненная Протоколом № 11 (Рим, 4 ноября 1950 г.) (с изм. от 21 сентября 1970 г., 20 декабря 1971 г., 1 января, 6 ноября 1990 г., 11 мая 1994 г.) (ETS № 005) // Сайт Совета Европы: http://coe.ru/main/echr
Конвенции № 108 указано, что положения статьи применимы только к трансграничным потокам данных. Следует отметить, что запрет создания препятствий трансграничному перемещению персональных данных между государствами-участниками Конвенции № 108, обусловленный целью защиты частной жизни, является основополагающим принципом, установленным п. 2 ст. 12 Конвенции № 108.
Как следует из Конвенции № 108, два или более государств могут заявить о ее применимости также к информации о юридических лицах в соответствии с выбором, предоставляемым им подп. «6» п. 2 ст. 3. В таком случае нормы ст. 12 и остальные положения Конвенции № 108 применяются к такой информации только между государствами, принявшими такое решение. Однако государство, исключившее из сферы применения Конвенции № 108 на основании подп. «а» п. 2 ст. 3 некоторые категории данных, фактически будет находиться в таком же положении, как и государство, не выразившее такого желания.
Кроме того, как уже отмечалось, ключевой принцип Конвенции № 108 (п. 2 ст. 12) состоит в недопущении создания препятствий в форме запретов или специальных разрешений на передачу данных между государствами-участниками конвенции. Данное положение объясняется тем, что все государства, принявшие на себя обязательства по защите персональных данных, изложенные в гл. II, должны предоставлять определенный, пусть даже минимальный, уровень защиты.
Однако данная норма не означает, что государства не могут принимать определенные меры для получения информации о потоках данных, проходящих через его территорию или территорию другого государства, например путем предоставления контролерами файлов данных соответствующих деклараций.
При этом положение Конвенции № 108 о том, что единственной ее целью является защита частной жизни, представляется важным уточнением, которое не позволяет государствам ссылаться на конвенцию для обоснования своего вмешательства в трансграничные потоки данных на основаниях, которые не имеют ничего общего с защитой частной жизни, например для установления скрытых торговых барьеров.
Вместе с тем п. 2 ст. 12 не лишает государства — участников конвенции возможности включать в свое национальное законодательство о защите персональных данных положения, которые в конкретных случаях не разрешают осуществлять передачу личных данных независимо от того, происходит ли она на территории этой стороны или является трансграничной.
Безусловно, одним из основополагающих является принцип взаимности (подп. «а» п. 3 ст. 12 Конвенции № 108), согласно которому трансграничная передача данных не может быть ограничена, если законодательство государства, на территорию которого передаются данные, предусматривает равноценную защиту данных. В случае если равноценная защита отсутствует, свобода передачи данных может быть ограничена исходя из специальных правил, установленных в государстве, из которого осуществляется передача данных, в отношении определенных категорий персональных данных или автоматизированных файлов данных. Также ограничения могут быть связаны с передачей персональных данных на территорию страны, не участвующую в конвенции, через территорию страны-участницы.
К категориям данных или файлов данных, упомянутых в подп. «а» п. 3 указанной статьи, могут относиться те, которые перечислены в ст. 6, а также и другие категории. Что касается данных, перечисленных в ст. 6 (расовая принадлежность,
политические взгляды), то государства могут объявить об отступлении от этих положений в соответствии с п. 3 ст. 12, если его конкретные меры по защите таких данных существенно отличаются от юридических норм других государств в отношении этих данных. В частности, если эти меры предусматривают более высокий уровень защиты в соответствии со ст. 11 и выходят за рамки минимальных норм, установленных в гл. II Конвенции № 108.
При этом, безусловно, оправданием для отступления от положений Конвенции № 108 являются случаи, когда категории данных, которые не упомянуты конкретно в ст. 6, являются предметом особых гарантий. Однако отступление не допускается, если получающая сторона обеспечивает такой же уровень защиты. Это означает, помимо прочего, что государство, которое устанавливает процедуру специальных разрешений в отношении трансграничных потоков данных, не может отказать в таком разрешении на основании защиты частной жизни, если сторона, получающая данные предоставляет такой же уровень защиты.
Подпункт «Ь» п. 3 ст. 12 касается передачи потоков данных в государство, не являющееся стороной Конвенции № 108, через территорию государства — участника Конвенции № 108. Очевидно, что формулировка данного подпункта указывает на то, что отступление может быть сделано только тогда, когда четко установлено, что передаваемые данные действительно лишь проходят через территорию другого государства. Следует отметить, что это правило не должно применяться только на основании простого предположения или ожидания, что данные, передаваемые другому государству — участнику Конвенции № 108, могут быть переданы государству, не являющемуся ее участником.
Дополнительным протоколом № 181 к Конвенции № 1082 установлены основополагающие правила в отношении перемещения потоков данных личного характера получателям, находящимся вне юрисдикции государств-участников Конвенции № 108, т.е. в третьи страны.
В таком случае при передаче персональных данных последовательно применяется принцип взаимности, т.е. такая передача возможна при наличии аналогичного уровня защиты в стране, на территорию которой передаются данные. Исключения из принципа взаимности могут быть сделаны на основе законодательно закрепленных возможностей таких исключений, если этого требует интерес самого физического лица — субъекта персональных данных.
При этом исключение может применяться также в случае, если контролер данных (лицо, ответственное за передачу) предоставляет гарантии, которые, в частности, могут вытекать из договорных условий, и которые будут расценены компетентным органом как достаточные в соответствии с национальным правом.
Исследование вопросов, связанных с трансграничной передачей персональных данных, позволяет сделать вывод, что судебная практика пока только складывается и является немногочисленной. Так, в решении Суда Европейского союза3 указыва-
2 Дополнительный протокол к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, был открыт для подписания в Страсбурге 8 ноября 2001 г. и вступил в силу 1 июля 2004 г. Хранится в архиве Совета Европы // Сайт Совета Европы: http://conventions.coe.int/Treaty/rus/Reports/Html/181.htm
3 Решение Суда Европейского союза по делу С-101/01, опубликовано на официальном сайте Суда Европейского союза: www.curia.europa.eu/
ется, что использование Интернета подразумевает доступ к содержимому ресурса из любой страны, а с учетом того, что в сферу действия Директивы 95/46/ЕС4 не входит регулирование Интернета, то в случае появления на интернет-сайте информации, содержащей персональные данные, нельзя говорить о трансграничной передаче в третью страну в контексте директивы.
Для Российской Федерации, как и для других государств, вопрос трансграничной передачи данных является исключительно важным, что подтверждается развитием национального законодательства о персональных данных, а также сложившейся системой правового регулирования в ЕС, не допускавшей передачу персональных данных в страны, не обеспечивающие их адекватную защиту, в числе которых до определенного времени находилась и Россия ввиду отсутствия законодательства о персональных данных.
Следует признать, что данное обстоятельство существенно осложняло коммерческие, миграционные и иные международные связи между нашим государством и государствами, входящими в ЕС. Это явилось своеобразным катализатором для подписания 7 ноября 2001 г. от имени Российской Федерации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г. Следует отметить, что конвенция была ратифицирована Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Дополнительный протокол к данной конвенции был подписан Российской Федерацией 13 марта 2006 г.
Принцип добросовестного соблюдения международных обязательств как один из общепризнанных принципов международного права требует приведения законодательства государства в соответствие с заключенными и введенными в действие международными договорами. В результате этого защита прав и свобод человека и гражданина при обработке его персональных данных впервые обрела в России правовые рамки с принятием Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в ред. от 25 июля 2011 г. № 261-ФЗ). Впоследствии в развитие этого федерального закона Правительством Российской Федерации был издан ряд подзаконных актов: от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»5; от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»6; от 4 марта 2010 г. № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»7; от 21 марта 2012 г. № 211 «Об утверж-
4 Директива 95/46/ЕС Европейского парламента и Совета (ЕС) от 24 октября 1995 г. «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных», опубликовано в официальном журнале OJ L 281 от 24 ноября 1995 г.
5 www.rg.ru/2008/07/11/trebovaniya-dok.html
6 http://www.rg.ru/2008/09/24/dannye-obrabotka-dok.html
7 http://www.rg.ru/2010/03/10/passport-dok.html
дении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»8; от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»9 др.
Однако до настоящего времени не принят закон, которым вносятся изменения в законодательные акты Российской Федерации в связи с принятием федерального закона «О ратификации Конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных», хотя в первом чтении указанный проект был принят еще в октябре 2005 г.10 При этом следует отметить, что Министерством связи и массовых коммуникаций Российской Федерации подготовлен проект поправок Правительства Российской Федерации к законопроекту «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»11, которым предполагается внесение изменений в целый ряд законодательных актов.
Анализ законодательства Российской Федерации, касающегося правового регулирования работы с персональными данными показывает, что связанные с этим нормы содержатся более чем в 100 законодательных актах, и важным условием является внесение соответствующих изменений в национальное законодательство в целях имплементации положений конвенции в российское законодательство.
Следует отметить, что для российского законодательства понятие трансграничной передачи персональных данных является новым и было впервые введено ст. 11 Федерального закона от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», в соответствии с которой разрешается передача персональных данных в иностранные государства, являющиеся сторонами конвенции. В настоящее время к конвенции присоединились Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
8 http://www.rg.ru/2012/03/30/dannie-dok.html
9 http://www.rg.ru/2012/11/07/pers-dannye-dok.html
10 Правительством Российской Федерации в 2005 г. был подготовлен пакет законопроектов, направленных на приведение российского законодательства в соответствие с конвенцией СЕ. Он включал, помимо собственно законопроекта о ратификации конвенции, проект закона и проект федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных», предусматривалось внесение изменений в целый ряд федеральных законов, необходимых для приведения их в соответствие новому законодательству о персональных данных.
11 В настоящий момент законопроект № 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» находится на рассмотрении в Государственной Думе Российской Федерации.
Порядок передачи персональных данных в иностранные государства, не являющиеся сторонами Конвенции № 108, но обеспечивающие адекватную защиту прав субъектов персональных данных, определяется Уполномоченным органом по защите прав субъектов персональных данных, функции которого возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Согласно изменениям, внесенным в федеральный закон «О персональных данных» в июле 2011 г., Роскомнадзор наделен правом утверждать перечень таких государств12.
В настоящее время, учитывая, что понятие трансграничной передачи персональных данных введено в законодательство Российской Федерации, как отмечалось, совсем недавно, судебная практика по этим вопросам только формируется.
Однако Уполномоченный орган по защите прав субъектов персональных данных в соответствии с его компетенцией осуществляет контроль за деятельностью операторов персональных данных. Всего за время деятельности Уполномоченного органа было проведено 5325 проверок операторов, осуществляющих обработку персональных данных, из них 1986 внеплановых. По результатам этих мероприятий было выявлено свыше 10 700 нарушений в области персональных данных, из них более 2200 по обращениям граждан, было выдано 5957 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 12 637 протоколов об административных правонарушениях и наложено штрафов на общую сумму 19,6 млн руб.13
Как показывает анализ, наибольшее количество нарушений законодательства в области персональных данных, которые были выявлены в ходе проверок Роском-надзора или при рассмотрении обращений граждан связано с: непринятием оператором мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ; осуществлением обработки персональных данных без согласия субъектов; несоответствием сведений, указанных в уведомлении об обработке персональных данных, их фактической деятельности.
Одной из актуальных проблем защиты персональных данных при трансграничном обмене является определение подсудности дел, поскольку неурегулированность не позволяет рассматривать подобные дела в российских судах, по месту нахождения лиц, которым причинен вред нарушениями законодательства о персональных данных. Данный вопрос нуждается в научном исследовании и проработке предложений о внесении соответствующих изменений в процессуальное законодательство.
В деятельности уполномоченного органа возникает много вопросов, связанных с развитием международного сотрудничества, особенно, затрагивающих вопросы осуществления трансграничной передачи персональных данных. Также одним из вопросов является независимость уполномоченного органа. В соответствии с п. 5.1.1.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228 (в ред. от 26 октя-
12 В настоящее время согласно информации, размещенной на официальном сайте Уполномоченного органа, перечень таких государств не утвержден.
13 Данные Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, официальный сайт: http://www.rsoc.ru
бря 2012 г. № 1100)14, на федеральную службу среди прочих возложены функции государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Осуществляя государственный контроль и надзор в данной сфере, уполномоченный орган выполняет следующие задачи: обеспечение контроля и надзора за соответствием обработки персональных данных требованиям российского законодательства в области персональных данных; ведение реестра операторов, осуществляющих обработку персональных данных, а также проверка сведений, содержащихся в уведомлении об обработке персональных данных; рассмотрение обращений субъектов персональных данных, а также принятие в пределах своих полномочий решений по результатам их рассмотрения; подготовка предложений по совершенствованию нормативного правового регулирования в области защиты прав субъектов персональных данных; организация международного сотрудничества по вопросам деятельности в области защиты прав субъектов персональных данных.
Решение поставленных задач возложено на структурное подразделение уполномоченного органа — Управление по защите прав субъектов персональных данных. Однако помимо указанных задач на Роскомнадзор возложены и другие функции по надзору в сфере связи и массовых коммуникаций.
С учетом специфики вопросов, направленных на защиту персональных данных и неприкосновенность частной жизни, требуются скоординированные действия и обеспечение оперативного международного взаимодействия между уполномоченными органами различных государств. Следует отметить, что с рядом государств Россией уже подписаны меморандумы о сотрудничестве в области защиты прав субъектов персональных данных (с Молдовой, Кыргызстаном, Арменией, Македонией). В стадии подписания находятся соглашения с Украиной, проведены консультации и достигнуты договоренности с Боснией и Герцеговиной, а также с Хорватией. Это позволит в дальнейшем существенно повысить эффективность защиты прав граждан, в том числе за пределами Российской Федерации.
Кроме того, представители России принимают активное участие в международных мероприятиях различного формата, в частности по проекту Соглашения между Россией и Евроюстом15, а также в переговорах по проекту Соглашения об оперативном сотрудничестве между Россией и Европолом и т.д. Европейская практика по защите персональных данных показывает, что правила защиты указанных данных в Совете Европы достаточно успешно функционируют в течение продолжительного времени. Положения конвенции, не связанные с технологическими аспектами, защищают от вмешательства в частную жизнь со стороны публичных и частных органов, но сейчас они не отражают современного уровня правоотношений. Об этом свидетельствует состоявшееся с 27 по 30 ноября 2012 г. в Страсбурге 29-е пленарное заседание Комитета сторон Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных16, на котором обсуждались предложения государств-членов Совета Европы о внесении изменений в ряд ключевых положений конвенции. В частности, стоит отме-
14 СЗ РФ. 2009. № 12. Ст.1431.
15 The European Union's Judicial Cooperation Unit, http://www.eurojust.europa.eu/
16 Итоговые документы 29-го пленарного заседания Консультативного комитета Конвенции Совета Европы по защите персональных данных см.: www.coe.int/dataprotection
тить предложенные положения ст. 12, предусматривающие возможность передачи персональных данных получателю, находящемуся в юрисдикции международной организации либо государства, которое не является участником конвенции и не обеспечивает надлежащего уровня защиты персональных данных в определенных случаях: субъект персональных данных дал свое согласие на передачу, после того как он был проинформирован обо всех рисках, возникающих в отсутствие соответствующих гарантий; того требуют интересы субъекта персональных данных в данном конкретном случае; передача осуществляется в законных общественных интересах и является необходимой мерой в демократическом обществе.
Также предлагается установить обязанность каждой стороны обеспечить информирование компетентного органа по надзору об условиях передачи данных и предусмотреть право требования контролирующим органом от лица, осуществляющего передачу или прием персональных данных, подтверждения эффективности и качества принимаемых мер.
Большое внимание уделяется предложениям по принципам функционирования, правам и обязанностям указанных надзорных органов, ответственных за соблюдение принципов конвенции в национальном правовом поле государств-участников, поскольку Конвенция № 108 была принята уже более 30 лет назад, а информационные технологии, используемые для передачи персональных данных, активно развиваются, меняются современные вызовы и угрозы, обусловленные расширяющимися возможностями использования огромных массивов специфических персональных данных и т.д.
Так, в апреле 2012 г. в Париже состоялось 27-е заседание бюро Консультативного комитета Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, в ходе которого обсуждались ранее подготовленные участниками и обобщенные секретариатом предложения по модернизации указанной конвенции.
Такая работа, связанная с модернизацией Конвенции № 108, предполагает отражение в ее тексте современного уровня состояния общественных отношений в сфере использования персональных данных, вызовов и угроз, обусловленных постоянно расширяющимися возможностями обработки огромного массива персональных данных большого числа субъектов, возможностями использования специфических персональных данных, полученных путем их автоматизированной обработки, в том числе результаты социологических исследований поведения индивида, его ценностные установки, политические, потребительские и иные предпочтения. Следует отметить общую концептуальную направленность работы по модернизации данной конвенции на унификацию ее положений с правилами, действующими в настоящее время в Европейском союзе.
Важно отметить, что активно высказываются предположения о включении в текст конвенции положений Дополнительного протокола от 8 ноября 2001 г. ETS № 181, регулирующих вопросы трансграничной передачи данных. Однако действующая редакция ст. 2 Дополнительного протокола ограничивает передачу персональных данных на территорию государства, не являющегося стороной конвенции, случаями, когда государством или получателем обеспечивается адекватная защита данных, либо предусмотренными национальным правом случаями передачи для целей реализации определенных частных или государственных интересов.
Представляется, что предлагаемая к включению в модернизированный текст Конвенции № 108 норма затрагивает отношения, связанные не только с передачей данных в государства, не являющиеся сторонами конвенции, но и с обменом данными между сторонами конвенции. Как и в существующей редакции ст. 12 конвенции, провозглашается обеспечение свободного потока данных.
Требования обеспечения адекватной защиты данных распространяется на любых получателей. При этом предполагается, что адекватный уровень защиты, вызывающий постоянные дискуссии, может быть обеспечен путем имплементации положений конвенции в национальное право и осуществления их эффективного применения на практике.
Однако остаются открытыми актуальные вопросы о соразмерном усилении ответственности за нарушения в сфере обработки персональных данных и за причинение вреда субъектам персональных данных. Необходимо также определить вид юридической ответственности, описать диспозицию деяния, влекущего ответственность и установление санкции.
В отношении получателей, находящихся под юрисдикцией государств — сторон Конвенции № 108, закрепляется презумпция, что их национальное законодательство обеспечивает адекватный уровень защиты. Однако из указанной презумпции могут быть сделаны исключения, если сторона конвенции не имплементировала отдельные или все положения, гарантирующие права или устанавливающие обязанности в соответствии с конвенцией. К сожалению, по различным причинам такая ситуация, в частности, сложилась в Российской Федерации. В этих случаях предусмотрен механизм обращения стороны, передающей данные, в Консультативный комитет для оценки того, является ли обеспечиваемый уровень адекватным.
Таким образом, рассматриваемая норма не исключает возможности прочтения, порождающей дискриминацию тех или иных сторон конвенции, например, на том основании, что одна из сторон конвенции (передающая сторона) является членом Совета Европы, а другая (принимающая) не является.
Представляется также целесообразным уточнить порядок обмена данными в тех случаях, когда одна из сторон конвенции обеспечивает более высокий уровень защиты, чем другая сторона конвенции, однако при этом обе стороны осуществляют необходимую имплементацию положений Конвенции № 108.
Увеличение потока данных через национальные границы является следствием постоянно растущего объема международных обменов в глобальных масштабах, что сопровождается технологическим прогрессом во многих областях. Необходимо постоянно совершенствовать эффективную защиту прав, гарантируемых Конвенцией № 108 с учетом постоянно растущих технологических угроз. Эффективная защита в свою очередь требует гармонизации не только основных принципов защиты данных, но и в определенной степени средств их применения в столь быстро меняющейся и высоко технологической области, а также тех условий, когда личные данные передаются через национальные границы.
Рассмотренные правовые аспекты проблемы защиты персональных данных при трансграничном обмене в настоящее время приобретают особую актуальность в связи с развитием процессов глобализации, построением информационного общества и необходимостью обеспечения национальных интересов Российской Федерации в информационной сфере.